CrimsonIAS Backdoor

En ny Delphi-baseret bagdørstrussel, der har været aktiv siden mindst 2017, er blevet opdaget af forskerne. Hvis den er fuldt implementeret, tillader malware angriberne at udføre vilkårlige kommandoer ved at køre kommandolinjeværktøjer, exfiltrere valgte filer eller droppe yderligere filer til den kompromitterede maskine. Analysen afslørede, at CrimsonIAS Backdoor udviser et ejendommeligt træk, der ikke ofte ses blandt denne type malware - i stedet for at fungere som et fyrtårn som de fleste Windows-baserede bagdøre, kører CrimsonIAS Backdoor kun i lytningstilstand, da den afventer indgående forbindelser. Dette signalerer, at den målrettede maskine skal være åben for det offentlige internet, eller at angriberne har en anden måde at få adgang til offerets netværk.

Selvom det ikke var nok til at fungere som et solidt bevis, fandt forskerne ud af, at flere karakteristika ved CrimsonIAS Backdoor ligner aspekter af korrupte PlugX-prøver, der bruges i hacker-gruppen Mustang Panda (også kendt som BRONZE PRESIDENT og RedDelta). Gruppen menes at være en kinesisk-baseret spionageaktør, der primært koncentrerer sine aktiviteter om målene i Mongoliet, Vietnam og Hong Kong. Blandt dens sædvanlige række mål er ikke-statslige organisationer (NGO'er), politiske enheder og retshåndhævende organer. De tre vigtigste ligheder mellem CrimsonIAS Backdoor og MustangPanda PlugX-prøverne er brugen af 10-byte XOR-nøgle, der er forberedt på den krypterede binære, shellcode-lighed i MZ-headeren og brugen af en eksporteret læserfunktion.

Hackerne bag CrimsonIAS Backdoor har introduceret nye teknikker til trusselens kapaciteter støt for at holde trit med moderne tendenser, selvom forbedringshastigheden ikke er tilstrækkelig til at sige, at CrimsonIAS Backdoor stadig er under aktiv udvikling. Den største ændring kan ses på den måde, at den beskadigede kode udføres. I tidligere versioner blev bagdørfunktionaliteten startet gennem en Windows-tjeneste, der blev registreret og lanceret via en CPIApplet-eksporteret funktion. Nyere versioner af truslen er helt væk fra denne metode og anvender nu en reflekterende loader-teknik, en funktion der ses i flere forskellige malware-familier.